NÚKIB - Vyděračské útoky ransomwarem jsou čím dál cílenější

Ransomware je extrémně nebezpečný celosvětový fenomén, který byl opakovaně zaznamenán i v ČR, kde podobné útoky postihly soukromou i veřejnou sféru včetně oblasti zdravotnictví.

Vzhledem k závažnosti a aktuálnosti problematiky vydal NÚKIB analýzu, která shrnuje základní fakta o tomto typu útoků, popisuje základní zranitelnosti a dává i doporučení, jak se proti podobným útokům chránit.

Ransomware patří k závažným útokům, které mohou kromě dostupnosti narušit i integritu a důvěrnost dat. Jde o druh útoku, který může zcela paralyzovat jakoukoli firmu, úřad, nemocnici nebo i celou obec. V posledních několika letech tyto útoky cíleně směřují na velké společnosti, na veřejné i státní instituce, samosprávy, zdravotnická zařízení nebo univerzity, což je výrazný posun oproti dřívějším dobám, kdy se obětí těchto útoků stávali spíše jednotliví uživatelé.

K útoku nejčastěji dochází chybou koncových uživatelů prostřednictvím tzv. phishingu nebo spearphishingu. V obou případech se jedná o podvodný e-mail, který obsahuje zavirovanou přílohu (např. spustitelný soubor s koncovkou .exe, případně soubory z kancelářské sady Microsoft Office, které zneužívají funkce makro) nebo odkaz na zavirovanou stránku. Spearphishing je zákeřnější v tom, že je cíleně připraven pro danou instituci nebo dokonce konkrétního uživatele, tzn. například se tváří jako e-mail z oddělení technické podpory dané instituce nebo něco podobného.
Po otevření přílohy nebo rozkliknutí odkazu se na počítač uživatele nainstaluje škodlivý kód, který se následně rozšíří po síti celé instituce a zašifruje přístup k datům. Za odemčení dat útočníci zpravidla vyžadují výkupné (odtud název Ransomware z anglického ransom – výkupné).

Jak již bylo uvedeno, v současnosti jsou častým cílem těchto útoků velké firmy nebo veřejné instituce. Důvodem je zřejmě fakt, že tlak veřejnosti na co nejrychlejší obnovení služeb dává útočníkům vyšší šanci na zaplacení výkupného. Dále často dochází nejen k zašifrování dat, ale také k jejich zcizení. Jelikož se často jedná o citlivá interní data organizace, mohou útočníci vyhrožovat zveřejněním těchto dat.

Ačkoli se po útoku ransomwarem instituce prakticky vždy dostává do velmi složité pozice, přesto NÚKIB ani světová bezpečnostní komunita zásadně nedoporučují výkupné platit. V prvé řadě neexistuje žádná záruka, že útočník data odblokuje. Dále je třeba vědět, že odblokování dat neodstraní samotný ransomware ani další potenciální malware.

Nejlepší ochranou proti útoku ransomware je prevence. V technické rovině jde zejména o důsledné zálohování dat, segmentaci sítí a pravidelnou aktualizace softwaru i hardwaru. V netechnické rovině je nezbytné především pravidelné vzdělávání zaměstnanců, aby se měli na pozoru před podezřelými e-maily a neotevírali vše, co jim do jejich schránek přichází. Stejně tak by každá instituce měla mít připravené krizové plány včetně plánu pro krizovou komunikaci.

V nastavení pravidel kybernetické bezpečnosti mohou komukoli i mimo sféru regulovanou zákonem o kybernetické bezpečnosti pomoci dokumenty, které v minulosti vypracoval NÚKIB. Jde zejména o Minimální bezpečnostní standard, doporučení pro správce či vyhlášku o kybernetické bezpečnosti.

Celou analýzu NÚKIB si můžete přečíst v přiloženém souboru.